网络安全实训

网段

内网网段：172.172.4.0/24
服务器网段：172.172.3.0/24
互联网网段：202.96.137.0/24

1.1、防火墙做出口网关使用，需要代理内网用户和服务器网段上网进行互联网访问，要求在防火墙上划分区域分别为互联网区域和内网区域和服务器区域，内网 PC 和服务器访问互联网方向无限制。（配置截图，互联网访问成功截图）

配置 PC 端

首先是配置 IP 地址

配置防火墙

进入防火墙的 WEB 控制台，在网络的区域界面新增区域为互联网区域、内网区域和服务器区域。

接下来根据拓扑图配置接口

如图，互联网区域连接 AF 的 eth0 接口，内网区域连接 eth2 接口，服务器区域连接 eth1 接口。

首先配置 eth0 接口
区域为互联网区域，静态 IP 为 202.96.137.2/24，下一跳地址为 202.96.137.1. 启动 WAN 口。

其次配置 eth1 接口
区域为服务器区域，静态 IP 为 172.172.3.254/24

最后配置 eth2 接口
区域为内网区域，静态 IP 为 172.172.4.254/24，勾选 WEBUI

这里可以测试一下是否能够 ping 通

这里如果 PC 端 ping 不通的话，检查一下 IP 地址是不是配置好了，以及 PC 的防火墙要关闭

配置静态路由

配置访问控制策略

测试一下 PC 能不能通防火墙

配置地址转换
转换类型为：源地址转换
源区域选择内网区域和互联网区域
源地址新增两个为
服务器地址段：172.172.3.0/24
PC 地址段：172.172.4.0/24
目的区域为互联网区域，目的地址为全部

接下来我们测试一下能否上网

1.2、互联网测试 PC 机可以通过访问防火墙的映射端口 8080，访问到内网 WEB 服务器的 80 端口服务。（配置截图）

新增地址转换
此时转换类型为：目的地址转换
源区域为互联网区域，源地址为全部，目的地址为 202.96.137.2
服务新增自定义服务：8080.tcp 协议，目的端口为 8080

由于拓扑图中没有互联网测试 PC 机，所以这里只放配置截图

2.1、为保障内网终端安全，需要开启针对内网 PC 网段的对应的僵尸网络防护、防止下载病毒文件的安全策略，确保终端的安全性。（配置截图）

僵尸网络防护

在对象 -> 安全策略模板 -> 僵尸网络内新增模板

内容安全

在对象 -> 安全策略模板 -> 内容安全内新增模板

在策略 -> 安全策略 -> 安全防护策略内新增用户防护策略
配置如下：

2.2. 分别在 AF 内网 PC 口和外网口抓包，分析查看恶意域名访问拦截过程。

在 系统 -> 排障 -> 分析工具 -> 抓包工具
捕捉连接内网区域和互联网区域的接口的数据包，在我这里是 eth0 和 eth2

此时在 PC 执行命令nslookup www.fget-career.com

将得到数据包进行下载可以看到
外网口捕捉到了数据包而内网口没有捕捉到数据包
外网口数据包：

内网口没有捕捉到
之后我们在 监控 -> 安全日志 查询
可以看到防火墙对恶意域名的访问进行了拦截

3.1. 为保障内网 PC 的 DOS 安全，防止服务器区域和互联网区域攻击 PC，需要开启针对内网 PC 网段的对应的 DOS 安全策略。（配置截图，攻击拦截截图）

在 策略 -> 安全策略 ->DDos 防护 新增外网对内攻击防护策略
将防护阈值调低方便演示


最后在 系统 -> 通用设置 -> 网络参数 开启外网防 Dos 功能

然后我们登录服务器，切换 root 身份执行命令ab -n 50 -c 10 http://172.172.3.10:445/
开始攻击

3.2. 分别在 AF 内网 PC 口和服务器口抓包，分析查看 SYN Flood 攻击访问拦截过程。

同时抓包，选择连接服务器和内网的端口，我这里是 eth1 和 eth2
将抓到的包下载下来，先查看 eth1 端口

很明显，短时间内存在多次 SYN 请求。
再看看 PC 端抓到的数据包

很明显，仅仅只有很少的 tcp 报文，也就证明大部分由服务器发送的 SYN 请求包已经被防火墙拦截。
查看安全日志

4.1. 为保障内网 WEB 应用安全，防止互联网区域和 PC 区域攻击 WEB 应用，需要开启针对服务器网段的对应的安全策略，确保 WEB 应用的安全性。（配置截图，攻击拦截截图）

在做此步之前，由于之前的 dos 攻击，pc 机可能会进入临时封锁名单，这里等待 300s 或者在 安全运营 -> 黑白名单 -> 临时封锁名单 解除即可。

保证 pc 机可以 ping 通服务器

在 对象 -> 安全策略模板 ->WEB 应用防护 处新增模板

然后在 策略 -> 安全策略 -> 安全防护策略 新增业务防护策略，配置如下

然后进行 sql 注入攻击
我这里由于 dvwa 的环境崩了，所以使用的人设局的网站做测试
随便点击一篇文章，发先 url 里存在 id，存在注入点
于是id=1 union select 1,2,3
可以发现，网站并没有反应，这是因为我们的防火墙进行了拦截，无法发送到服务器。

4.2. 分别在 AF 内网 PC 口和服务器口抓包，分析查看 SQL 注入攻击访问拦截过程。

选择连接服务器和内网的端口，我这里是 eth1 和 eth2，进行抓包
首先是 eth2，可以发现存在 http 请求

然后查看 eth1

并没有对 http 的请求进行响应，因此证明防火墙对 sql 注入攻击进行了拦截。

查看安全日志